Archiv der Kategorie: SEO

Suche nach JavaSkript Unpacker führt zu FAKEAV

Originalartikel von Roland Dela Paz (Threat Response Engineer bei Trend Micro)

Beim Entpacken eines in einer bösartigen PDF-Datei versteckten JavaSkripts erhielten die Security Researcher von Trend Micro folgende Google-Suchergebnisse für „JavaScript Unpacker“:

Eine der in den Ergebnissen aufgeführte JavaScript Unpacker Sites war infiziert, und wahrscheinlich als Teil einer Blackhat SEO-Kampagne (Search Engine Optimization) landete man schließlich auf einer Seite, die als FAKEAV-Warnung diente.

Die übliche darauf folgende FAKEAV-Routine schloss mit einer Meldung, das System des Opfers sei infiziert worden.

JavaSkript Unpacker werden sehr häufig von professionellen Nutzern, vor allem Security Researchern, eingesetzt. Deshalb ist es eigentlich nicht zu verstehen, wozu eine solche Site infiziert werden sollte. Es ist sehr unwahrscheinlich, dass die Besucher auf den FAKEAV-Schwindel hereinfallen.

Die Anwender von Trend Micro-Produkten sind vor dieser Art von Angriffen über das Smart Protection Network geschützt, denn diese Sicherheitsinfrastruktur blockiert über den Webreputationsdienst die in den Angriff involvierten Website, erkennt auch die FAKEAV-Varianten und verhindert deren Download auf die Systeme der Anwender.

Blackhat SEO-Kampagnen nutzen den berüchtigten Stuxnet-Schädling

Originalartikel von Bernadette Irinco (Technical Communications bei Trend Micro)

Wie zu erwarten war, nutzen Kriminelle den zweifelhafte Berühmtheit von Stuxnet als Mittel, um bösartigen Code zu verbreiten. Der Senior Threats Researcher Ivan Macalintal hat diesbezüglich infizierte Suchergebnisse gefunden. Einige der Suchanfragen dieser Blackhat SEO-Kampagne (Search Engine Optimization) enthielten unter anderen die Schlagwörter “stuxnet SCADA”; “stuxnet removal tool,” “stuxnet cleanup,” “stuxnet siemens” oder “stuxnet worm” und erschienen als Top-Ergebnisse. Eine der manipulierten URLs ({BLOCKED}lo-canada.org/2008/stuxnet.html) leitet die Nutzer auf Websites, die Sicherheitslücken ausnützt, wie sie die „Common Vulnerabilities and Exposure“-Datenbank unter CVE-2010-0886 und CVE-2010-1885 beschreibt. Andere bösartige Suchergebnisse leiten Nutzer auf Websites mit PDF- und SWF-Exploits um.

Prinzipiell führen die Ergebnisse zu verschiedenen Payloads, die einen Downloader enthalten, der andere Schädlinge auf dem Nutzersystem installiert, oder eine FAKEAV-Variante (TROJ_FAKEAV.SMZU).

Ein weiteres Beispiel dieser Kampagne ist eine bösartige URL, {BLOCKED}l.com/loja/media/stuxnet.html, die sich als Youtube-Seite tarnt und zu einem Schädling (TROJ_CODECPAY.AY)  führt.

Bereits in der Vergangenheit nutzten Cyberkriminelle bekannte Sicherheitsbedrohungen wie Conficker für ihre hinterhältigen Zwecke.

Trend Micro rät Nutzern, die an Informationen zu Stuxnet interessiert sind, diese nur von vertrauenswürdigen Seiten abzurufen. Informationen zu Stuxnet gibt es auch auf unserem Blog, etwa „USB-Wurm nutzt Windows Shortcut-Schwachstelle aus“.

Anwender von Trend Micro-Lösungen sind vor der beschriebenen Gefahr über das Trend Micro Smart Protection Network geschützt. Denn dessen Webreputationsdienst verhindert den Zugriff auf die infizierte Site.

FAKEAV behauptet sich hartnäckig

Originalartikel von Roland Dela Paz (Threat Response Engineer bei Trend Micro)

FAKEAV-Malware wird mittlerweile wie als ganz normales Geschäft betrieben, und das trotz der hohen Aufmerksamkeit von Seiten der Medien. Trend Micro-Sicherheitsforscher haben drei wichtige Aspekte – nämlich Social Engineering-Techniken, FAKEAV-Techniken und das Geschäft mit der Malware — untersucht, um herauszufinden, warum diese berüchtigte Malware sich so hartnäckig behaupten kann.

Social Engineering stellt die überwiegend genutzte Technik für die Weiterentwicklung böswilliger Aktivitäten dar, sowohl online als auch offline. FAKEAV ist ein gutes Beispiel für eine Online Social Engineering-Erfolgsstory. Die Malware nutzt menschliche Schwächen aus und setzt Techniken wie „Black Hat“ Search Engine Optimization (SEO) ein, um Nutzer auszutricksen.

Hinter professionell wirkenden Benutzerschnittstellen, störenden Pop-ups und sonstigen Scareware-Taktiken von FAKEAV steckt eine einfache Technologie. Man kann daher sagen, dass die FAKEAV-Technik eher trickreich als komplex ist. Aber ungeachtet der Einfachheit der Technik spielt sie eine erfolgskritische Rolle für die Social Engineering Malware-Taktik.

Natürlich ist eine böswillige Kampagne sinnlos, wenn sie den Betreibern nichts bringt. Im FAKEAV-Geschäft geht es um hohe Einsätze, denn neben den 40 bis 100 Dollar, die die Nutzer als Preis für eine Schwindelsoftware zahlen, geht es vor allem um Informationsdiebstahl.

Weitere Einzelheiten zu den Aspekten gibt es im Security Spotlight Artikel “Why FAKEAV Persists”.

Blackhat SEO-Angriffe nutzen gefälschte YouTube-Seiten sowie Flash Installer

Originalartikel von Norman Ingal (Threat Response Engineer bei Trend Micro)

Nutzer tun im Internet regelmäßig  zwei Dinge: Sie sehen sich Videos an und nutzen die Suchmaschinen. Für die Bedrohungslandschaft heißt dies Blackhat SEO-Angriffe (Search Engine Optimization), nachgebaute bösartige YouTube-Seiten und seit Kurzem Angriffe, die beide Taktiken nutzen.

Die Sicherheitsforscher von Trend Micro stießen kürzlich auf eine Attacke, die Suchergebnisse für Zeichenketten wie Videos der Reality-TV-Berühmtheit Teresa Guidice oder der britischen Schauspielerin Holly Davidson sowie von der Ölkatastrophe im Golf von Mexiko nutzte, um die User auf gefälschte YouTube-Seiten zu locken, wo dann die allzu bekannte Warnung einer angeblichen Malware-Infektion auftauchte.

Die Ergebnisse sind kompromittierte Sites, die Suchwörter enthalten, mit denen die User darauf gelockt werden können.





Die Analysten fanden eine weitere Änderung, und zwar in Form der Kombination von Blackhat SEO und einer wohlbekannten Malware-Technik. Die Suchergebnisse des Strings “Mel Gibson tapes” leiten nicht auf Seiten mit falschen Infektionswarnungen, sondern zu einer Aufforderung, den Adobe Flash Player Installer herunter zu laden:


Nutzer sollen glauben, sie seien zu einem Video weiter geleitet worden und müssen nur den Adobe Flash Player installieren, um es anzusehen.Laut  Marco Dela Vega, Threat Response Engineer bei Trend Micro, haben die Cyberkriminellen ein gutes Auge für Details. Denn sie haben nicht nur eine überzeugende Schnittstelle für den gefälschten Adobe Installer erstellt, sondern auch eine URL verwendet, die sehr überzeugend als Link zur Adobe Site wirkt.

Dies ist eine bemerkenswerte Änderung, denn die Blackhat SEO-Angriffe sind eigentlich nur dafür bekannt, FAKEAV-Varianten zu vertreiben. Die Angriffe nutzen auch nicht mehr allein die Beliebtheit großer News aus. Sie werden täglich gestartet und vergiften Suchläufe und erzeugen Malware.

Die für besagte Angriffe genutzte Malware wurde als TROJ_FAKEAV.MVA beziehungsweise WORM_UTOTI.Y identifiziert.

Die Sicherheitsanalysten von Trend Micro erforschen diese Angriffe bereits länger und wir haben des öfteren darüber berichtet, etwa „Neue Blackhat SEO Techniken“ oder im Whitepaper Unmasking FAKEAV.

With the continuing rampancy of blackhat SEO attacks, users are advised to be extremely cautious when conducting searches.

Das Smart Protection Network liefert einen mehrschichtigen Schutz gegen Blackhat SEO-Angriffe, denn der Web Reputation Service blockiert die bösartigen Links und der File Reputation Service erkennt bösartige Dateien.

Neue Blackhat SEO Techniken

Originalartikel von Ryan Flores (Advanced Threats Researcher bei Trend Micro)

Bei Untersuchungen zu Blackhat Search Engine Optimization (SEO) stießen die Sicherheitsforscher von Trend Micro auf einen SEO-Angriff in dem beliebten Dokumenten-Sharing Portal Scribd. Nutzer können hier Dokumente hochladen und mit anderen Personen teilen.

Das Dokument, dass die SEO-Zeichenketten und Links enthält, war eine PDF-Datei, die auf Scribd hochgeladen worden war.


Die weitere Recherche ergab, dass das Nutzerkonto, in dem die Datei hochgeladen worden war, sehr aktiv PDF-Dateien für Blackhat-Angriffe hochlud – bis dato sind es 3.003 solcher Dateien, seitdem das Konto vor 26 Tagen erzeugt wurde.


Das Anklicken eines jeden Links führt auf eine Site, die speziell darauf ausgerichtet ist, Werbung zu hosten oder zu verlinken. Die Site an sich ist nicht bösartig, denn sie initiiert keine Drive-by-Downloads oder verursacht auch keine automatischen Umleitungen. Doch ein Link , der auf eine Viagra Spam-Site und auf bösartige FAKEAV-Links führt, zeigt die tatsächliche Ausrichtung.


Dieser SEO-Pfad zeigt zwei beunruhigende Blackhat SEO-Trends – die Nutzung von anderen Dokumentenformaten als HTML, um SEO-Seiten zu erzeugen, sowie die Nutzung von Dokumenten-Sharing-Sites, um nicht HTML-Blackhat-Angriffe zu hosten.

Die Anwender von Trend Micro Produkten sind über das Smart Protection Network gegen diese Art des Angriffs geschützt.